Terraform AWS EKS模块中KMS密钥创建失败问题解析

问题背景

在使用Terraform AWS EKS模块创建Kubernetes集群时，特别是在全新的AWS账户中，用户可能会遇到KMS密钥创建失败的问题。错误信息显示为"MalformedPolicyDocumentException: Policy contains a statement with one or more invalid principals"，这通常发生在尝试为EBS卷加密创建KMS密钥时。

根本原因分析

这个问题的根源在于AWS服务链接角色(AWSServiceRoleForAutoScaling)尚未在账户中创建。在全新的AWS账户中，某些服务链接角色不会自动存在，需要显式创建或在使用相关服务时由AWS自动创建。

具体到EKS场景中，当尝试创建加密的EBS卷时，KMS密钥策略需要引用Auto Scaling服务角色。如果该角色不存在，KMS密钥创建就会失败，因为策略中引用了无效的主体。

解决方案

针对这个问题，有几种可行的解决方案：

1. 预先创建服务链接角色： 在部署EKS集群前，先创建Auto Scaling服务链接角色：

   resource "aws_iam_service_linked_role" "autoscaling" {
     aws_service_name = "autoscaling.amazonaws.com"
   }
   

2. 分阶段部署： 可以先部署EKS集群而不启用EBS加密，让集群创建过程中自动生成所需角色，然后再启用加密功能。

3. AWS CLI创建： 使用AWS CLI预先创建角色：

   aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com
   

最佳实践建议

1. 新账户准备清单： 对于全新的AWS账户，建议在部署生产级基础设施前，先创建所有必要的服务链接角色，包括但不限于：

   • Auto Scaling
   • Elastic Load Balancing
   • EKS等

2. 模块化设计： 在Terraform代码中，可以将基础设施依赖项(如服务链接角色)的创建与核心资源的创建分离，使用显式依赖关系确保正确的创建顺序。

3. 错误处理： 在自动化部署流程中，应该包含对这种已知错误的检测和处理机制，能够自动识别并尝试修复这类问题。

技术深入

AWS服务链接角色是AWS服务代表用户在账户中执行操作所需的特殊IAM角色。这些角色由AWS预定义，但通常不会自动创建，而是在首次使用相关服务时创建。

在EBS加密场景中，KMS密钥策略需要授权给：

1. Auto Scaling服务(用于管理节点组的加密卷)
2. EKS集群IAM角色(用于PersistentVolume控制器创建加密PVC)

这种设计确保了最小权限原则，但也带来了部署顺序的复杂性。理解这些AWS服务间的依赖关系对于设计可靠的Terraform部署流程至关重要。

总结

在全新的AWS账户中部署加密的EKS集群时，开发者需要特别注意服务链接角色的存在性。通过预先创建必要的角色或合理安排部署顺序，可以避免KMS密钥创建失败的问题。这个问题很好地展示了云基础设施部署中资源间依赖关系管理的重要性。